いまセキュリティ対策は企業にとって経営課題になっています。公的機関でのウィルス感染による情報の漏えいや大手企業による情報漏洩事件など皆さんの記憶に残っているニュースもあるのではないでしょうか。
情報技術の進化により、パソコンやスマートフォンから手軽に情報にアクセスできるようになり便利になる一方で、多くのデバイスがネットワークを介し相互依存が強まり、一つの端末での障害が他の端末に大きな影響を及ぼすようにもなってきました。
このような状況の中、セキュリティリスクは高まる一方で適正な情報セキュリティ対策を講じなければ企業活動を円滑に進めることがせきません。
組織の状況によって細部は異なりますが、ここでは情報セキュリティ対策を検討する際に必要な要素として最低限押さえておきたい5つの要素を概観します。
1.情報セキュリティポリシーの策定
2.情報資産の把握とリスクの整理
3.具体的な対策の推進
4.従業員のセキュリティ意識向上
5.経営層の理解
いずれもセキュリティ対策に欠かせない項目となりますが、とりわけ、組織共通の判断軸となる「情報セキュリティポリシーの策定」、セキュリティ対策の実施や従業員の意識向上を後押しする「経営層の理解」は優先的に取り組みたい項目になります。
目次
1.情報セキュリティポリシーの策定
ひとたび情報漏洩事故等のセキュリティインシデントが発生すると、規模によりますが数億円にのぼる損失を被ることもあり、社内の情報管理について外部から厳しい批判を受け事業の継続にも影響を及ぼすこともあります。
情報セキュリティポリシーの策定は、企業の情報資産を脅威から守るのはもちろんのこと、社員の意識向上に活用するためにも明文化した組織全体のルールとして必要なものです。
情報セキュリティポリシーについて総務省は「企業や組織において実施する情報セキュリティ対策の方針や行動指針のこと」としており、一般的には、その組織の情報セキュリティに対する宣言である「基本方針」、どのような対策を行うかを記した「対策基準」、対策基準ごとの具体的な内容である「実施手順」で構成されています。
出典:総務省 組織幹部のための情報セキュリティ対策
情報セキュリティポリシーの具体的な策定から導入までの流れは以下のようになります。
総務省が公表している情報セキュリティポリシーに関するガイドライン(PDF)などを参照してポリシー全体を網羅的に確認することもできます。しかし、セキュリティ対策はこれで万全というものはなく、自組織の現状に応じて優先順位や強化ポイントは異なりますので、下記の情報資産の把握・具体的な対策の推進も参考に、組織に見合ったポリシーの作成を進めていきましょう。
2.情報資産の把握とリスクの整理
自組織の情報資産とリスクにはどのようなものがあるのかご存知でしょうか。はじめに、組織の情報資産を把握したうえで、どのようなセキュリティポリシーが必要なのかを検討します。
情報資産
データベース、書類、記憶媒体などの情報のほかソフトウェア・ハードウェア・ネットワークなどの情報システムも該当します。
情報資産がさらされるリスク
情報漏洩、ウィルス感染、盗難・紛失、破壊・滅失などがあります。
対策
ウィルスソフトの導入、社員教育、体制構築、コンサルタントやベンダーへの委託など、何をどのように守っていくかによって検討します。
まずは自組織の情報資産を把握して情報資産ごとに、どのようなリスクがあり、どのような対策が必要か棚卸をしましょう。これらを明確にすることで自組織に見合ったポリシーの策定やリスク対応に必要なツール、人材が見えてきます。
3.具体的な対策の推進
続いて、セキュリティ担当者は具体的にどのような対策をしていくのでしょうか。企業が対応すべき情報セキュリティ対策は大きく以下の3点を組織的に対策していく必要があります。
技術的対策:不正アクセス、コンピュータウィルス、改ざん等の技術的脅威に対する対策です。侵入を防ぐ入口対策だけでなく、侵入拡大防止、監視などを行うために欠かせない対策です。
例)ソフトウェアの更新、ウィルス対策、セキュリティ診断、IDS・IPSの導入など
物理的対策:侵入、破壊、災害等といった物理的脅威に対する対策です。書類の盗難や災害による滅失の防止などのために必要です。
例)防犯カメラの設置、鍵の管理・入退室管理といった防犯対策や耐震設備の導入など
人的対策:情報の持ち出し、不正行為、パスワード管理といった人的脅威に対する対策です。従業員が怪しいメールが来ても開かないようにして標的型メールを予防するなどセキュリティ意識向上などのために必要です。
例)ルール・罰則の策定、社員教育など
自組織で保有する情報資産がどのような脅威の対策をすべきか把握しましょう。現在のリソースで対応できるものもあれば、コンサルタントやセキュリティベンダーなどに依頼が必要なものもあるかもしれません。
対策ごとに自組織で対応できるのか、外部に委託するのかを決めていきましょう。
近年は、セキュリティポリシーの実効性を担保するために専属の担当者を置く企業もあります。具体的には、CISO(情報セキュリティ責任者)を設置し、情報セキュリティ推進部門を設置したり、サイバー攻撃が発生した際に迅速に対応できるようにCSIRT(Computer Security Incident Response Team)を設置する企業も増えています。
組織によって優先順位は異なるかもしれませんが、上記の各対策項目を決めたうえで、それらを推進していく体制を構築していく必要があります。
4.従業員のセキュリティ意識向上
次に重要なこととして、ポリシーは担当者のみが守ればよいものではなく、情報資産を扱う社員全員が意識を持たなければならないということです。
物理的な破損等がある自然災害等に比べて情報セキュリティはリスクを認識しにくいという特徴があり、漏洩に気づかないケースもあります。まずリスク意識を向上させ、パスワード管理や怪しいメールへの対処など基本を徹底することが大切です。定期的に意識調査を行う、Eラーニング等で注意を喚起する、日ごろから管理監督を徹底するなど、従業員全員が対策を守るということが必要です。
その際に、組織の統一基準となるのが情報セキュリティポリシーですので、この策定が重要な役割を担うこととなります。
5.経営層の理解
現実問題として、企業のセキュリティ意識浸透・推進には経営層の理解・協力が必要です。
従業員へのセキュリティ意識向上には経営層のリーダーシップが必要
セキュリティ担当者から従業員への啓発活動を強化しても、組織の隅々までセキュリティ意識を浸透させるのは難しいケースもあります。例えばパスワードを定期的に更新するのは面倒なので使いまわしをしてしまう人もいます。ポリシーが形骸化しないように、やるべきことを確実に実施するよう管理し、組織全体で実施するという文化づくりが必要です。そのためにも、経営層が自ら率先して実施するなど、姿勢を見せることはとても重要です。
セキュリティコストは費用対効果が見えにくいため経営判断が必要
セキュリティ対策を進めていく上では一定のコストが必要になりますが、セキュリティコストはそれ自体が直接売上に貢献するものではなく、費用対効果がわかりにくい投資です。しかし、情報漏洩などのインシデントが発生すると、経済的損失・社会的信用の失墜等、事業の継続に大きな影響を及ぼします。セキュリティコストは会社にとって必要な投資であるという意識を経営層が持つ必要があります。
このような背景から、経済産業省および独立行政法人情報処理推進機構(IPA)が2015年12月「サイバーセキュリティ経営ガイドライン」を策定しています。企業の経営者を対象に、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するため、サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめています。
※出典 マカフィー「サイバーセキュリティ経営ガイドライン」のポイントより抜粋
また、自組織が実際に攻撃の被害にあった場合の損失を見極めることも大切です。顧客情報〇件の流出があった場合には〇円の損失、株主などのステークホルダーへの説明やブランド失墜による損失など、想定されるリスク・コストを洗い出しましょう。
セキュリティインシデントはコンプライアンス違反同様、経営に大きな影響を与えることを全社員が自覚し、経営者は従業員を管理監督することが求められているのです。
これらを経営層が理解したうえで、「具体的な対策の推進」「従業員のセキュリティ意識向上」を円滑に進めていきましょう。
6.これからのサイバーセキュリティ対策
ウィルス対策ソフトなどで入口をふさぐことがセキュリティ対策だった時代から攻撃は高度化・複雑化し、ウィルスソフト任せという訳にはいかなくなってきています。侵入を前提として、入口をかいくぐったものをどのように検知・修復するか、その対応が重要になっています。
また、各デバイスのウィルス対策だけではなく、テレワーク(社外からのアクセス)への対応、クラウドセキュリティやIotなど企業がカバーすべきセキュリティ対策は多岐に渡ります。
こういった変化に対応するためには、個別最適されたセキュリティ対策ではなく、企業の情報資産とそれに接触する人・端末すべてを網羅した全体最適化されたセキュリティ対策が必要になります。
著者:マカフィー株式会社 マーケティング本部
